Recientemente hice un poco de investigación en XSS y descubrí que para prevenir XSS, la mejor manera es codificar la entrada / salida del usuario. Al ser un novato en este campo no puedo entender esto y tengo un par de preguntas:
-
Si en el lado del servidor usamos un REGEX para eliminar las barras inclinadas
(/,\)
y los símbolos de apertura / cierre de secuencia de comandos(<,>)
, ¿podemos prevenir XSS? -
También encontré un artículo en el que las casillas de verificación y los botones de opción también estaban siendo atacados inyectando un
onMouseHover = <script> .. </script>
. Dado que esto no enviaría ningún dato al servidor, ¿cómo representa una amenaza? -
Usando firebug podemos inyectar scripts en casi todas partes. ¿Qué debemos cuidar exactamente? Si las entradas del formulario de usuario están correctamente validadas, ¿estamos bien?